"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

[Warning] Let's Encrypt zieht morgen Millionen Zertifikate zurück

Obermotz 04.03.2020 - 10:10 4147 15
Posts

Obermotz

Fünfzylindernazi
Avatar
Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

charmin

Super Moderator

Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 13836
urks danke! betrifft auch 3 seiten bei mir

Obermotz

Fünfzylindernazi
Avatar
Registered: Nov 2002
Location: OÖ/RI
Posts: 5262
Mal schauen obs der Certbot von alleine checkt..

Punisher

Bukanier
Avatar
Registered: Sep 2002
Location: Disneyland
Posts: 1857
wenns im cron täglich läuft so wie von ihnen empfohlen hat man max. 24h outtage. Da das Zertifikat ja nicht abgelaufen ist wird certbot es nicht früher checken (denk ich mal). Aber wie auf golem beschrieben sollte ein
Code:
certbot renew --force-renewal
es relativ schnell lösen

master_burn

Editor
Loading . . 40% . . . 50%
Avatar
Registered: Jul 2001
Location: near Quasi
Posts: 2472
macht easyname hoffentlich automatisch ..

xaxoxix

Dagegen da eigene Meinung
Avatar
Registered: Mar 2003
Location: Hinterbrühl - N..
Posts: 614
eps funktioniert offensichtlich deswegen nicht

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48757
Zitat aus einem Post von master_burn
macht easyname hoffentlich automatisch ..

keine Ahnung, World4You versucht es für viele Automatisch zu lösen. Ob es sich rechtzeitig ausgeht werden wir sehen.

Edit:
Waren nur 60 Zertifikate und die wurden alle neu ausgestellt.
Bearbeitet von Viper780 am 04.03.2020, 16:33

NyoMic

xepera-xeper-xeperu
Avatar
Registered: Feb 2001
Location: Stahlstadt
Posts: 2613
bei mir auch meine private betroffen, völlig egal, bei allem kommerziellem wird man hoffentlich auch auf andere lösungen gesetzt haben...
Viel aufwendiger finde ich die Beschränkung die es zukünftig geben wird auch alle kommerziellen Zertifikate auf max. 1 Jahr auszustellen statt wie bisher 3 Jahre (oder gabs vl. sogar irgendwo noch länger gültige...)
Finde leider die Quelle dazu nicht mehr...

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48757
Kenne nur Apple die alle Zertifikate für TLS die länger als 13 Monate gültig sind in zukunft nicht mehr akzeptieren. Meines wissen war das für EV Zertifikate aber immer schon so.
Der Prozess gehört automatisiert und somit ist es gut so

Lets encrypt war ja immer nur 90 Tage

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: graz
Posts: 4019
mein cert war nicht betroffen. ich hätte es aber wahrscheinlich gar nicht gemerkt :D

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Sie haben sie Kontaktadressen bei den fehlerhaften via email kontaktiert.
Hatte auch eines dabei.
Verstehe die Vorgehensweise von letsencrypt aber nicht ganz.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48757
Warum nicht?
Sie konnten nicht sicherstellen ob das Zertifikat gerechtfertigt ausgestellt wurde. Sprich die Webseite die du ansurfst könnte einen gefälschten Ausweis haben.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Ja schon. Sie haben den Fehler aber schon Anfang Jänner begangen. Das Risiko der Ausnutzung ist ziemlich gering. Weshalb das jetzt binnen 2 Tage revoked werden muss verstehe ich nicht ganz.
Der Angreifer musste zb. Zugriff auf DNS haben um diese Lücke auszunutzen - da fällt mir viel ein vorher. Fehler fixen ja, Revoken bei verdacht der Ausnutzung.
Bearbeitet von Smut am 05.03.2020, 07:28

Obermotz

Fünfzylindernazi
Avatar
Registered: Nov 2002
Location: OÖ/RI
Posts: 5262
Geht wohl um den guten Ruf. Besser ein paar Umstände verursachen als nachher groß in der Zeitung zu stehen. Versteh ich in der Branche.

Mr. Zet

Super Moderator
resident spacenerd
Avatar
Registered: Oct 2000
Location: Edge of Tomorrow
Posts: 11974
Danke für die Info, war aber zum Glück nicht betroffen.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz